Il legislatore e il Garante negli ultimi mesi stanno promuovendo azioni volte e semplificare gli adempimenti previsti dalla normativa sulla privacy (D.L. 112/2008 e da ultimo provvedimento del garante del 27 novembre 2008). L’obiettivo perseguito è rendere meno gravosi gli adempimenti e gli oneri per piccole e medie imprese e liberi professionisti che hanno dei trattamenti limitati e non pericolosi, per i quali, quindi, gli adempimenti stessi costituirebbero un onere eccessivo.
Quindi, mentre alcuni adempimenti per alcuni titolari del trattamento vengono semplificati, dall’altra parte il decreto legge n. 207 del 2008 (mille proroghe), all’art. 44 “Disposizioni in materia di tutela della riservatezza” introduce sostanziali novità in materia di sanzioni privacy al fine di contrastare le recenti violazioni in un’ottica anche di graduazione e di flessibilità delle sanzioni in considerazione delle condizioni economiche del contravventore.
In particolare queste le modifiche apportate.
OMESSA O INIDONEA INFORMATIVA.
In caso di omessa o inidonea informativa, in luogo dei precedenti importi (dal minimo di 3.000 euro a 18.000), il decreto prevede un sensibile inasprimento da 6.000 euro a 36.000.
Tali importi possono raddoppiare in caso di violazione di maggiore gravità o quadruplicare se la sanzione può risultare inefficace in ragione delle condizioni economiche del contravventore. (esempio grandi aziende / enti pubblici).
La sanzione dell’omessa informativa è la sanzione contestata più frequentemente dal Garante per la protezione dei dati personali nel corso delle ispezioni.
OMESSA O INCOMPLETA NOTIFICAZIONE.
Per tale fattispecie è stato previsto un raddoppio della sanzione: dalla forbice da 10.000 a 30.000 euro ai seguenti importi: da 20.000 a 60.000 euro. (art. 161 del codice).
Nel caso di omessa notificazione non è più obbligatoria (ma facoltativa) la sanzione amministrativa accessoria della pubblicazione dell’ordinanza ingiunzione a carico del contravventore, sanzione particolarmente temuta dalle aziende. (art. 163 del codice)
ILLEGITTIMA CESSIONE DI DATI
La sanzione amministrativa passa dalla forbice dai 5.000 a 30.000 euro al raddoppio degli importi da 10.000 e 60.000 euro.
Nel caso di illegittima comunicazione di dati sanitari , diversa dalla cessione che presuppone una controprestazione alla comunicazione del dati, si passa dalla forbice dai 500 ai 1.000 euro agli importi di 1.000-6.000. (art. 162 del codice).
OMESSA INFORMAZIONE O ESIBIZIONE AL GARANTE.
La sanzione amministrativa, in quest’ipotesi è stata inasprita dalla forbice da 4.000 a 24.000 euro a quella da 10.000 a 60.000 euro. (art. 164 del codice).
VIOLAZIONE DELLE MISURE DI SICUREZZA E TRATTAMENTO ILLECITO DI DATI
Il decreto introduce poi delle nuove sanzioni amministrative aggiuntive (v.art. 162 bis e ter del codice) alle ipotesi penali di violazione delle misure di sicurezza (previste dall’art. 33 del codice) e di trattamento illecito di dati (v. art. 167 del codice).
Il decreto prevede in questi due specifici casi, al fine di rendere effettive le norme del codice: la sanzione amministrativa di importo da 20.000 a 120.000 euro.
Nel caso di violazione delle misure minime di sicurezza è esclusa la possibilità del pagamento in misura ridotta entro sessanta giorni.
In riferimento alla sanzione penale per la violazione delle misure minime di sicurezza, il decreto non contempla più l’alternativa fra sanzione pecuniaria e quella detentiva prevista da codice ma esclusivamente la pena detentiva (l’arresto fino a 2 anni).
Inoltre nel caso dell’oblazione (nell’ipotesi di ravvedimento operoso) è stato previsto un innalzamento degli importi dovuti da 12.500 euro a 30.000 euro.
Inoltre, nel caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o del provvedimento di divieto o blocco del garante è applicata, in ogni caso in sede amministrativa, la sanzione del pagamento di una somma da 30.000 euro a 180.000 euro.
Infine si segnala un interessante elemento di novità.
E’ stata introdotta la possibilità in presenza di minore gravità delle violazioni sopra indicate di ridurre i limiti minimi e massimi stabiliti in misura pari a due quinti, in ragione della natura anche economica o sociale dell’attività svolta dal responsabile della violazione stessa. Tale riduzione non si applica per la violazione delle misure di sicurezza.
Si precisa che il presente decreto legge non è ancora stato convertito in legge. Per confermare la validità delle nuove disposizioni occorre quindi attendere la conversione del decreto. (Alessandra Delli Ponti per NL)
